Usuarios, permisos y compartición de archivos en 2000 y XP

Foro en el que podras encontrar manuales y tutoriales de todo tipo
administrador
Administrador del Sitio
Administrador del Sitio
Mensajes: 52
Registrado: 03 Jun 2018, 20:02

Usuarios, permisos y compartición de archivos en 2000 y XP

Mensaje por administrador »

Autor Cubano

Windows NT5 y NT6 (Windows 2000, XP, 2003, Vista y 2008) son, al contrario que los venerables Windows 9x, sistemas multiusuarios. Podemos definir varios usuarios que tendrán su propia configuración de escritorio, favoritos, datos y configuraciones personalizadas de programas, documentos y privilegios sobre el sistema distintos. Esto originalmente se veía más como una necesidad de trabajo que como algo realmente útil en ordenadores domésticos, pero ahora que todos o casi todos los miembros de la familia usan el ordenador, es muy útil que cada uno tenga su usuario y no pueda ver/manipular los datos y configuraciones del resto. También puede ser necesario que algún usuario no pueda instalar nuevos programas, sobre todo si esos programas tienen procedencia dudosa.

Usuarios

En Windows NT tenemos distintas categorías de usuarios. Aunque hay unas cuantas (sobre todo si nos vamos a un servidor de dominio), normalmente usamos 3 tipos:
Administradores
Usuarios avanzados
Usuarios (usuarios restringidos)


Estas “categorías” son, realmente, Grupos. En Windows NT (y en Linux, ya que estamos) nos encontramos tanto con usuarios individuales como con grupos de usuarios.
Un usuario puede pertenecer a uno o más grupos y, de igual modo, un grupo puede pertenecer a otros grupos. Nosotros podemos asignar permisos y restricciones tanto a usuarios individuales como a grupos, y un usuario tendrá los permisos y restricciones que tengan los grupos a los que pertenece.

Windows trae ya una serie de usuarios y grupos creados por defecto. Además, nosotros podemos crear los que necesitemos. Desde la herramienta de Usuarios del Panel de Control de Windows XP, sin embargo, sólo podemos crear Usuarios. Es una herramienta muy simplificada. La herramienta completa de usuarios y grupos está en Herramientas administrativas\Administración de Equipos\Usuarios locales y grupos.

Los usuarios con más permisos en Windows XP pertenecen al grupo Administradores. Son los que pueden instalar/desinstalar programas, cambiar todo en el sistema operativo y crear y manipular otras cuentas de usuarios. El usuario que se crea al instalar Windows XP pertenece a este grupo, y normalmente, otros usuarios que podamos crear también son administradores.

El grupo usuarios avanzados y el grupo usuarios (usuarios restringidos) tienen muchos menos permisos. Por ejemplo, no pueden modificar el registro de Windows ni borrar/modificar archivos que no estén en su carpeta de usuario. El usuario más restringido de todos es el Invitado.

Idealmente y por seguridad deberíamos trabajar diariamente con un usuario del grupo Usuarios, esto es, un usuario restringido, y usar una cuenta con derechos de administrador sólo para instalar/desinstalar y realizar labores de mantenimiento. Como nadie lo hace (yo el primero) los virus y demás basura tienen la incidencia que tienen.

Esto no es ninguna tontería. En Linux el usuario administrador es root mientras que los demás usuarios que creamos (incluso durante la instalación) son usuarios normales. Así, en cuanto queramos instalar algo o cambiar una configuración debemos validarnos (iniciar sesión o ejecutar como…) como root.

En Windows hay una utilidad que nos permite ejecutar un programa como otro usuario, se llama RunAs. Aún así, seguimos trabajando como administradores (como digo, yo el primero) en gran parte porque los programadores son tan malos que nos lo exigen para ejecutar (sólo ejecutar, no digo instalar) un programa. Esto ya no es problema de Windows, sino de los desarrolladores de las aplicaciones (por ejemplo, tengo en el trabajo una aplicación de gestión y contabilidad que necesita ejecutarse con permisos de administrador).

Resumiendo: cada persona que tenga acceso al ordenador debería tener su cuenta de usuario propia (idealmente de Usuario normal) y, para aquellos que usen esporádicamente nuestro ordenador (como el vecino pelmazo) podemos habilitar la cuenta de Invitado.

Las carpetas de usuario.

En la partición de sistema de Windows encontramos tres carpetas principales: la de Programas, la de Windows y la de Usuarios. En Windows XP, “Archivos de Programa”, “Windows” y “Documents and Settings”. En Vista, la de usuarios se llama Users, mientras que en 2000 la de Windows es “Winnt”.

Dentro de “Documents And Settings” encontramos una carpeta con el nombre de cada usuario que haya en la máquina (y haya iniciado sesión al menos una vez), además de unas carpetas por defecto. Si, por ejemplo, tenemos dos usuarios llamados Pepe y Juan (dos cuentas de usuario, me refiero; las personas se llamarán como quieran), en Documents And Settings tendremos las siguientes carpetas:

Pepe
Juan
All Users
Default User

Si entramos en cualquiera de ellas, veremos una serie de carpetas donde se guarda toda la información del usuario: sus documentos (Documentos de Pepe), los accesos directos de su Menú Inicio, su Escritorio, sus Favoritos, sus opciones de “Enviar a” (Send to), etc. También tenemos carpetas de configuración de aplicaciones, donde se guardan los datos de este usuario. Por ejemplo, para añadir una plantilla de Word a Pepe, guardaríamos el archivo de plantilla en \Documents and Settings\Pepe\Datos de programa\Microsoft\Plantillas.

O bien, pongamos, quiero llevarme los marcadores, historial, contraseñas guardadas, configuración, etc., de mi Firefox al ordenador del trabajo (donde también tengo instalado Firefox). Pues copio el interior de la carpeta que haya en \Datos de programa\Mozilla\Firefox\Profiles (tiene un nombre aleatorio) a la que haya en el ordenador del curro y listo.

Las dos carpetas creadas por defecto (All Users y Default User) tienen un uso especial. Defaul User es la carpeta patrón que toma Windows para crear un usario nuevo y ahí no tocaremos. All Users tiene información aplicable a todos los usuarios. Básicamente, accesos directos (o archivos o carpetas) que haya en el Menú Inicio o en el Escritorio de All Users aparecerán en el Menú Inicio o en el Escritorio de todos los usuarios de la máquina.

Este artículo ha sido perpetrado por Cubano con la colaboración del equipo de moderadores de este foro y la inestimable ayuda de la Ayuda de Windows.
Algunos derechos reservados: puedes usar este artículo, distribuirlo y modificarlo mientras cites al autor original y el sitio donde se ha publicado originalmente (este foro) y respetes esta licencia.
[Enlace externo eliminado para invitados]
Esta obra está bajo una [Enlace externo eliminado para invitados]

administrador
Administrador del Sitio
Administrador del Sitio
Mensajes: 52
Registrado: 03 Jun 2018, 20:02

Re: Usuarios, permisos y compartición de archivos en 2000 y XP

Mensaje por administrador »

Más sobre usuarios y contraseñas

Uno de los problemas más repetidos en el foro es el olvido de una contraseña. Si podemos entrar como usuario del grupo Administradores, podemos cambiar la contraseña de cualquier usuario sin necesidad de conocer la que tuviese puesta.

Normalmente, la gente se olvida, o no sabe, que en Windows XP hay un usuario por defecto llamado Administrador, con derechos de administrador y que NO aparece en la pantalla de bienvenida (2), y dejan a esta cuenta de usuario sin contraseña. De ahí que siempre repitamos lo de F8, modo seguro, ya que arrancando así sí aparece en la pantalla de bienvenida el Administrador (3) y si está sin contraseña, entramos, cambiamos la contraseña de la cuenta que sea y listo.

Problema: si la cuenta de Administrador, y cualquier otra cuenta del grupo Administradores están protegidas por contraseña y no conocemos ninguna estamos bien j********. Tocaría romperse la cabeza y ser creativos. Reinstalar Windows y redefinir permisos en las antiguas carpetas de usuarios es una opción (un poco bestia). Otra posibilidad es aprender algo de hackeo, como usar un programa revienta claves por ataque de fuerza bruta o de diccionario, pero eso escapa (de momento) a mi saber.

Otro problema común: tras reinstalar Windows no podemos acceder a la carpeta de un usuario, o bien hemos pinchado un disco duro a nuestro ordenador para recuperar datos de una cuenta de usuario de otro Windows que no arranca y no podemos entrar en la carpeta. ¿Por qué? Obvio, el usuario en cuestión tenía su cuenta convertida en privada de forma que sólo él pudiera acceder a ella. Esto es normal y recomendable, pero en estos casos es un dolor de cabeza.

¿Qué hacer? Desde una cuenta con derechos de administrador, o sea, un usuario del grupo Administradores o la misma cuenta de Administrador (en Windows XP Home, como Administrador y en modo seguro) abrimos la ventana de Propiedades de la carpeta y vamos a la pestaña Seguridad. Veremos un churro de números letras en lugar de un usuario válido. Esos números es la identificación única que Windows asigna a una cuenta de usuario y se corresponde a un usuario que no existe en nuestro equipo. Lo que haremos es cambiar el propietario de la carpeta por un usuario válido de nuestra máquina. Para ello, vamos a Opciones Avanzadas, buscamos la pestaña Propietario y elegimos un usuario como nuevo propietario (marcando la opción “Reemplazar propietario en subcontenedores y objetos”). Una vez hagamos eso, podemos cambiar los permisos de la carpeta y subcarpetas de manera normal.

Permisos

Si tenemos una partición con sistema de archivo NTFS (que es lo ideal salvo que trabajemos en la misma computadora con Windows 9x o Linux) podemos definir permisos para carpetas y archivos. Esto es, podemos permitir a ciertos usuarios navegar por una carpeta y abrir los archivos que contenga, otros usuarios podrán editar estos archivos y otros no podrán entrar en las carpetas.

Para poder asignar permisos, debemos entrar en Propiedades de carpeta o de archivo (con el botón derecho, como siempre) e ir a la pestaña Seguridad.

Aquí tenemos el primer problema: Windows XP Pro trae habilitado un "Sistema simple de compartición de archivos" que no muestra esta pestaña. Podemos deshabilitarlo en Herramientas, Opciones de carpeta, Ver y buscando la opción al final de la lista. Windows XP Home no trae esta posibilidad, pero entrando como Administrador en modo seguro, tendremos acceso a la pestaña Seguridad (4).

En la pestaña Seguridad tenemos dos secciones: Usuarios y Grupos y Permisos. Seleccionando cada Usuario o Grupo de la lista veremos los permisos que tiene asignados. Si intentamos cambiar algo seguramente nos salga una ventana de aviso indicando un problema con los permisos heredados: si pinchamos en Opciones avanzadas veremos una casilla marcada que dice "Heredar del objeto principal...". Eso significa que esta carpeta o archivo tiene los permisos de la carpeta a la cual pertenece. Si queremos cambiar los permisos, pues desmarcamos la opción, damos a Copiar en el cuadro de diálogo que aparecerá y listo. Luego VOLVER A ACTIVAR la opción, para que los archivos y subcarpetas tengan los permisos que hemos puesto.

Para dar/quitar permisos debemos tener en cuenta, así, de manera simple, lo siguiente:
a) Archivos manda sobre carpetas (un permiso sobre un archivo tiene preferencia sobre el permiso que tengamos sobre la carpeta)
b) No usar Denegar, puede dar problemas.
c) SIEMPRE SIEMPRE SIEMPRE tener al grupo Administradores o al usuario Administrador con Control Total, nos quitamos de problemas (5)
Los permisos más o menos se explican pinchando sobre ellos. Básicamente los podemos dividir en tres grupos:
-Lectura (lectura y ejecución, Mostrar el contenido de la carpeta, Leer) que nos permite abrir los archivos y navegar por las carpetas.
-Modificación (Modificar, Escribir) que nos permite crear, modificar o borrar archivos y carpetas.
-Control total, que nos permite también definir permisos.
De ahí que si no queremos que alguien entre en una carpeta, pues quitamos de la lista de grupos y usuarios con permisos sobre esa carpeta a ese usuario. Y así con cada caso.
Además, por sencillez, en Windows se heredan los permisos de arriba a abajo (esto es, si damos permisos a una carpeta, sus archivos y subcarpetas tendrán los mismos permisos). Para cambiarlo, debemos entrar en Opciones avanzadas y desmarcar "Heredar permisos...."


Ejemplo práctico:
Supongamos que tenemos niño-pelmazo (hermano pequeño, hijo, sobrino, vecino...) al que queremos dar acceso al ordenador para que mire internet, vea películas, juege a algún juego instalado y use el word. Pues le creamos una cuenta de Usuario (Usuario limitado, también llamado). Como tal, tiene permiso de escritura en su carpeta de usuario (<system>\Documents And Settings\<nombre_usuario>) y de lectura y ejecución en las demás (4). Esto significa que puede ejecutar cualquier programa, pero no puede escribir en sus directorios, o sea, no puede instalar ni borrar ninguna aplicación o archivo de ésta.

Problema: El juego no funciona. Muchos juegos graban las partidas y las opciones de configuración en su carpeta de instalación, así que como no tiene permiso de escritura, el juego no funciona. Pues se le da permisos de escribir y modificar sobre la carpeta del juego y listo. De igual modo, si no queremos que ejecute tal aplicación, pues se le quita el permiso de lectura y ejecución sobre la carpeta, o sobre el archivo ejecutable, y listo. El acceso directo le seguirá apareciendo seguramente en Inicio-->Todos los programas (la mayor parte de estos iconos los toma de All Users), pero le dará un mensaje de error al intentar ejecutarlo. Así podemos impedir que use el messenger o cualquier otro programa, que vea lo que no tenga que ver, que borre lo que no tenga que borrar o que nos instale mierda variada en el ordenador.



------------------------------------------------------------------------------------

(1) Idealmente y por seguridad deberíamos trabajar diariamente con un usuario del grupo Usuarios, esto es, un usuario restringido, y usar una cuenta con derechos de administrador sólo para instalar/desinstalar y realizar labores de mantenimiento. Como nadie lo hace (yo el primero) los virus y demás basura tienen la incidencia que tienen.

(2) Puede ponerse tocando el registro o bajando e instalando el TweakUI de las PowerToys para Windows XP desde la página de Microsoft, y eligiendo la opción pertinente.

(3) Si en vez de tener la pantalla de bienvenida, tenemos puesto que nos pida el nombre de usuario (lo de "pulse Ctl+Alt+Supr para empezar" y esas cosas), sí podemos acceder como Adminstrador en un arranque normal.

(4) No voy a decir cómo convertir nuestra carpeta de usuario en privada, para eso buscar en la ayuda de Windows XP que lo pone muy claro.

(5) Obvio, si el resto de usuarios de la máquina son Administradores y tú no quieres que entren en cierta carpeta, pues Control Total sólo al Administrador.

Este artículo ha sido perpetrado por Cubano con la colaboración del equipo de moderadores de este foro y la inestimable ayuda de la Ayuda de Windows.
Algunos derechos reservados: puedes usar este artículo, distribuirlo y modificarlo mientras cites al autor original y el sitio donde se ha publicado originalmente (este foro) y respetes esta licencia.
[Enlace externo eliminado para invitados]
Esta obra está bajo una [Enlace externo eliminado para invitados]

administrador
Administrador del Sitio
Administrador del Sitio
Mensajes: 52
Registrado: 03 Jun 2018, 20:02

Re: Usuarios, permisos y compartición de archivos en 2000 y XP

Mensaje por administrador »

Compartir recursos.

Todo lo visto anteriormente es para un equipo local. Sin embargo, cada vez es más común tener varios ordenadores en casa, conectados en red y compartiendo salida a Internet y eso sin hablar de las redes en el trabajo. Con Windows (y con cualquier SO, vaya, me da igual que sea UNIX, Linux, MacOS…) podemos compartir recursos en la red y acceder a otros recursos compartidos. Un recurso compartido es una impresora, una carpeta, la grabadora de DVDs del ordenador del enchufado de Luis…

Lo primero:

Los equipos deben estar en la misma red. Esto es, deben poder verse. Si no sabes a qué me refiero, puedes mirar aquí

Lo segundo:

Ten marcado “Compartir impresoras y archivos para redes Microsoft” en las Propiedades de la conexión de Área Local que uses.

Lo tercero:

Si usas el cortafuegos de Windows, ten marcado como excepción “Compartir archivos e impresoras”. Si usas otro firewall, pues haz lo equivalente según las instrucciones del programa.

Ahora vamos con el tipo de red que tenemos. Lo más normal es que tengamos una red entre iguales (peer to peer, P2P) donde todos los ordenadores tienen la misma importancia. En este caso, estaremos trabajando con un Grupo de Trabajo y deberemos tener todas las máquinas en el mismo grupo de trabajo. El grupo de trabajo se indica en “Propiedades del sistema” (Mi PC, botón derecho, Propiedades, o desde el Panel de control, Sistema), Nombre de equipo, botón “Cambiar”.

El nombre del grupo de trabajo lo ponemos nosotros. El que queramos, igual que el nombre de máquina. El nombre de la máquina no puede repetirse en el grupo de trabajo, de igual modo que no podemos repetir dirección IP.

Bien, supongamos que ya tenemos nuestros ordenadores en el mismo grupo de trabajo y que vamos a compartir carpetas desde un XP Pro con la compartición simple deshabilitada.

Para compartir una carpeta o unidad de disco, botón derecho, compartir. Le damos a compartir carpeta, ponemos un nombre al recurso compartido (no tiene porqué ser el mismo que el de la carpeta, pues SON DOS COSAS DISTINTAS). Pinchamos en el botón de Permisos y agregamos los usuarios o grupos que tendrán acceso al recurso y les pondremos el nivel de permiso MÁS ALTO que tendrán en todo el recurso compartido.
Ahora vamos a las carpetas y archivos de que componen el recurso y asignamos sus propios permisos.

Por ejemplo: Tenemos una carpeta (Gestión) que vamos a compartir, que contiene otras dos carpetas, Ana y Pepe. El usuario Ana guardará datos en la carpeta Ana y el usuario Pepe hará lo propio en la suya. Entonces, vamos a Gestión, le damos a Compartir, compartimos y le asignamos un nombre (RecursoGestion). En permisos agregamos a Pepe y Ana con permisos de Cambiar (y quitamos el grupo Todos, of course). En los permisos de la carpeta Gestión (la pestaña de Seguridad en propiedades de la carpeta, no la de Compartir; ya dije que recurso y carpeta son dos cosas distintas) les damos permisos sólo de Lectura y Ejecución. En la carpeta de Ana, añadiremos los permisos de escritura al usuario Ana y quitaremos al usuario Pepe, y con la carpeta Pepe pos lo mismo.

Fácil, ¿no?
Pues aún no hemos terminado.
Estos son usuarios de la máquina. Bien. Pero si compartimos recursos es para que usuarios de otras máquinas accedan a ellos. ¿Entonces? Tan fácil como crear en la máquina que comparte usuarios con el mismo login y contraseña que aquellos que tendrán acceso a los recursos compartidos. Luego sólo tenemos que asignar los permisos y ya está...

Repito despacio:
Hemos compartido las carpetas anteriores en un ordenador (llamémosle Neuromante) que tiene como sistema operativo XP Professional, al que hemos deshabilitado la compartición simple de archivos. Además, este equipo pertenece al grupo de trabajo Gibson, y tiene dirección IP 192.168.0.2 con máscara 255.255.255.0, siendo la puerta de enlace (router) el 192.168.0.1, que es también su DNS primario. Esto es una configuración de red normal.

Tenemos creados dos usuarios, Ana y Pepe, a los que hemos dado permisos a las carpetas de antes. Hasta aquí, bien.

Ahora tenemos el equipo en el que va a trabajar José García (Pepe), que se llama Wintermute (192.168.0.3 con máscara 255.255.255.0 y grupo de trabajo Gibson), también con XP Pro (podría ser Home, podría ser 2000, podría ser Vista). La cuenta de usuario que usa José García se llama Molly. Resultado: José García no puede entrar en el recurso de Gestión ni en la carpeta Pepe del ordenador Neuromante. ¿Qué hacemos? Crear un nuevo usuario llamado Pepe, con la misma contraseña que tenga el Pepe de Neuromante, y le decimos a José García que a partir de hoy use ese usuario (seguro que nos dirá que nos vayamos a paseo).

Esta es la razón por la que, en una red mixta W2000/WXP el que trabaja en W2000 entra sin problemas en las carpetas compartidas de XP, pero al revés pide un usuario y contraseña. El XP con la compartición simple habilitada permite la conexión al recurso compartido a todo el mundo, sin preguntar (usando el usuario Invitado), mientras que el 2000 necesita que sea un usuario válido.

Más:

Truco: Windows comparte por defecto el directorio raíz de cada unidad con el nombre <letra_unidad>$: C:\ lo comparte como C$ y así sucesivamente. Estos son los recursos administrativos. Para conectarnos a un recurso administrativo, debemos hacerlo con una cuenta del grupo de Administradores (en XP sólo si estamos en un XP Pro con la compartición simple deshabilitada).

Para acceder a una carpeta compartida tenemos tres formas:
1) Desde Mis Sitios de Red. Si no aparece, pinchamos en “Toda la red” y buscamos nuestro grupo de trabajo. Ahí aparecerán todos los equipos que pertenezcan a nuestro grupo de trabajo y estén encendidos en ese momento.
2) Desde Inicio, ejecutar, tecleando \\nombre_ordenador\recurso. Por ejemplo, \\Neuromante\Gestion. También podemos entrar a subcarpetas dentro de ese recurso: \\Neuromante\Gestion\Pepe.
3) Escribiendo lo anterior en la barra de direcciones del Explorador de Windows (no el Internet Explorer).
4) Podemos asignar una letra de unidad a un recurso o subcarpeta de un recurso, de tal manera que aparecerá en Mi PC como cualquier otra unidad de disco duro, CD, disquetera o dispositivo USB. Para ello, Mi PC, botón derecho, Conectar a unidad de red. Nos preguntará la letra (XP empieza desde la Z:, 2000 desde la siguiente que tengamos libre) y la carpeta a la que se tiene que conectar. Por ejemplo, asignamos la letra Z: a \\Neuromante\Gestion\Pepe y la Y: a \\Neuromante\Gestion.


Número máximo de conexiones: los Windows NT Pro (2000 y XP) admiten hasta 10 conexiones simultáneas. XP Home, sólo 5. Si queremos montar un servidor de archivos en la empresa y hay más máquinas cliente, necesitaremos un Windows Server (que nos puede salir por 700-900€ mínimo) o bien usar un sistema Linux como servidor de archivos. Es perfectamente posible hacer una red mixta.

Por último, antes hablaba de los tipos de redes y dije que lo normal es tener una red de iguales (grupo de trabajo). La otra opción es tener definido una red cliente-servidor con un dominio y un controlador de dominio. En este caso trabajamos con usuarios de dominio, y no de máquina (aunque un usuario de dominio se puede convertir en usuario de máquina, por ejemplo, para que sea Usuario normal de dominio, pero pertenezca al grupo Administradores de su ordenador de trabajo cotidiano). La ventaja es simple: en el ejemplo anterior yo sólo tendría que haber creado los usuarios Ana y Pepe como usuarios de dominio, en el controlador de dominio (una sola vez), haber metido los equipos en el dominio (casi igual que con el grupo de trabajo) y ya podría haber gestionado los permisos y tal, sin tener que crear ningún usuario más.

En fin, hasta aquí llego hoy. Si se me ocurre algo más, seguiré ampliando el hilo. Si queréis que aclare o amplíe algo, sólo tenéis que pedirlo.

Este artículo ha sido perpetrado por Cubano con la colaboración del equipo de moderadores de este foro y la inestimable ayuda de la Ayuda de Windows.
Algunos derechos reservados: puedes usar este artículo, distribuirlo y modificarlo mientras cites al autor original y el sitio donde se ha publicado originalmente (este foro) y respetes esta licencia.
[Enlace externo eliminado para invitados]
Esta obra está bajo una [Enlace externo eliminado para invitados]